Planer og meldinger. Virksomhetsplan Risikovurderinger. Plans and reports 2015/3

Transkript

1 Virksomhetsplan 2015 Risikovurderinger Planer og meldinger Plans and reports 2015/3

2

3 Planer og meldinger 2015/3 Virksomhetsplan 2015 Risikovurderinger Statistisk sentralbyrå Statistics Norway Oslo Kongsvinger

4 Planer og meldinger I denne serien publiseres dokumenter med et institusjonelt preg og notater med en viss offisiell karakter. Statistisk sentralbyrå Ved bruk av materiale fra denne publikasjonen skal Statistisk sentralbyrå oppgis som kilde. Publisert mars 2015 Trykk: Statistisk sentralbyrå Standardtegn i tabeller Symbol Tall kan ikke forekomme. Oppgave mangler.. Oppgave mangler foreløpig Tall kan ikke offentliggjøres : Null - Mindre enn 0,5 av den brukte enheten 0 Mindre enn 0,05 av den brukte enheten 0,0 Foreløpig tall * Brudd i den loddrette serien Brudd i den vannrette serien Desimaltegn,

5 Planer og meldinger 2015/3 Virksomhetsplan 2015 Forord Virksomhetsplan 2015 Risikovurderinger presenterer overordnede risikovurderinger knyttet til virksomhetsplanen for Prioriteringer og satsinger for arbeidet i 2015 er samlet i publikasjonen Virksomhetsplan 2015 Satsinger og prioriteringer. I tillegg foreligger virksomhetsplaner for avdelingene med risikovurderinger for enkelte områder. Det foreligger også risikovurderinger i prosjektdokumentasjonen for prosjekter i porteføljen. Statistisk sentralbyrå, 25. februar Morten Reymert styreleder Torbjørn Hægeland administrerende direktør Statistisk sentralbyrå 3

6 Virksomhetsplan 2015 Planer og meldinger 2015/3 Innhold Forord... 3 Risikovurdering for Statistisk sentralbyrå Statistikkproduksjonen IT Økonomiforvaltning og innkjøp Sikkerhet Statistisk sentralbyrå

7 Planer og meldinger 2015/3 Virksomhetsplan 2015 Risikovurdering for Statistisk sentralbyrå 2015 Statistisk sentralbyrås hovedmål er å dekke samfunnets behov for offisiell statistikk og utarbeide sentrale analyser og forskning som bygger på denne statistikken. Måloppnåelsen er avhengig av flere forhold, som evnen til effektiv statistikkproduksjon, kvalitet i produksjonen og at samfunnet har tillit til at SSB opptrer objektivt og ikke misbruker data. Disse forholdene er oppsummert i de europeiske retningslinjene for statistikk. Hensynet til kvalitet og effektiv produksjon er også understreket i SSBs sentrale strategidokumenter og planer. På et overordnet nivå er effektiv og kvalitetssikret statistikkproduksjon og forskning blant annet avhengig av: Gode formidlingsløsninger Gode IT-systemer God kompetanse God organisering Gode produksjonsprosesser I tillegg står SSB overfor administrative krav, blant annet: God personalforvaltning God økonomistyring Gode innkjøpsrutiner Gode sikkerhetsrutiner Metode for risikovurdering Denne rapporten inneholder overordnede risikovurderinger for SSBs virksomhet i Operasjonell risiko omfatter forhold som raskt kan føre til svikt i SSBs løpende produksjon eller tjenesteleveranser, økonomisk tap, tap av liv og helse eller tap av omdømme, som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Risikovurderingene oppsummeres i en fast mal, og i tillegg benyttes risikokart som beskrevet i Metode for risikovurdering (dokument 2009/17). Metoden bygger på DFØs opplegg for risikovurderinger. Risikovurderingene inneholder en kolonne for beskrivelse og forklaring av risiko, en for gradering (kritisk-høy-moderat-lav) av risikoen slik den fremgår i risikokartet og en hvor tiltak og oppfølging av eventuelle tidligere tiltak er kommentert. Under vises risikomatrisen som er benyttet. 1 1 Risikomatrise fra DFØs veileder i internkontroll, s. 37: Statistisk sentralbyrå 5

8 Virksomhetsplan 2015 Planer og meldinger 2015/3 For risiko med lav sannsynlighet, men alvorlig/svært alvorlig konsekvens, kan det være uforholdsmessig kostnadskrevende å redusere risikoen ytterligere. Derimot kan en her måtte vurdere behov for bedre beredskap til å håndtere situasjonen dersom uheldige utfall inntreffer, dvs. tiltak som kan redusere konsekvensen og begrense skaden. Risikovurderinger i publikasjonen Følgende risikovurderinger er presentert i denne publikasjonen: - Statistikkproduksjonen samlet - IT - Økonomiforvaltning, herunder innkjøp og faren for misligheter - Sikkerhet Risikovurderingene er gjennomført i forbindelse med utarbeidelse av virksomhetsplanene for 2015, i perioden september-desember I tillegg til disse risikovurderingene har alle porteføljeprosjektene slike vurderinger i prosjektdokumentasjonen. Enkelte risikovurderinger på mer detaljert nivå vil også bli presentert i avdelingenes virksomhetsplaner. Det er også gjennomført en egen vurdering av risiko for feil i publisert statistikk, basert på en gjennomgang av fire sentrale statistikker. Et sammendrag av denne vurderingen er lagt under kap. 1. Den fagdirektøren som er ansvarlig for det enkelte fagområdet er i utgangspunktet ansvarlig for tilakene. For statistikkproduksjonen totalt gjelder dette alle fagdirektørene på statistikksiden, mens IT-direktør har et ansvar på tvers av avdelingene for tiltak knyttet til IT. Alle tiltak beskrevet i disse risikovurderingene skal også være beskrevet i avdelingenes virksomhetsplaner der de passer inn. Under følger oversikt over kritiske eller høye risikofaktorer knyttet til områdene som er vurdert i rapporten: 1 Statistikkproduksjon Risiko for mangelfull kapasitet mht. nødvendig kompetanse. Risiko for driftsstopp/systemfeil i IT-systemer. Risiko for sviktende tilgang til data fra administrative registre og spørreundersøkelser. Risiko knyttet til organisering av arbeidet. 2 IT Mangel på ressurser og nødvendig kompetanse vanskeliggjør nyutvikling, effektiv forvaltning og drift. Gammel teknologi, og manglende standardisering vanskeliggjør tilfredstillelsen av nye brukerbehov og integrasjon med andre systemer. Manglende kapasitet i forvaltningen hindrer nødvendig nyutvikling. Lang feilrettingstid i infrastrukturen som følge av mangel på tilstrekkelig kapasitet (nok ressurser med rett kompetanse). Ondsinnet dataangrep som følge av økt eksponeringen av nettverk og tjenester mot omverden 3 Økonomiforvaltning og innkjøp Ingen høye risikoer. 4 Sikkerhet Risiko for uatorisert tilgang til / endring av data. Manglende tilgjengelighet grunnet driftsstans. Risiko for at medarbeidere ikke har tilstrekkelig sikkerhetskompetanse. Risiko for omfattende brann, oversvømmelse eller naturkatastrofe, samt terror. Risiko for at omfattende mengder data blir borte. Flytting til Akersveien Flyttingen til nye kontorlokaler i Oslo ble tatt inn i risikovurderingene for 2013 og Flyttingen gikk bra, og ingen av risikoene som ble vurdert som høye i 2013 inntraff. Telefoni ble før flyttingen vurdert som en lav risiko, men på dette området opplevde SSB visse problemer tidlig i Dette problemet er nå løst. 6 Statistisk sentralbyrå

9 Planer og meldinger 2015/3 Virksomhetsplan 2015 Mål Endring 1. Statistikkproduksjonen Opprettholde den løpende produksjonen og formidlingen av statistikk med en kvalitet minst på dagens nivå. Risiko knyttet til kompetanse har økt, jf. også halvårsrapport 2014, og vurderes nå som høy. Innsparinger har over flere år skjedd ved naturlig avgang og ved sterke begrensninger i ekstern rekruttering. Dette har medført en utilsiktet endring i kompetanseprofilen for SSB hvor andelen med høyere utdanning er avtagende. Det er særlig bekymringsfullt at de medarbeiderne som utgjør SSBs framtid, unge akademikere, nå utgjør en mindre andel av SSBs ansatte enn for få år siden. Risiko for svikt i finansieringen vurderes fortsatt som moderat. Størst usikkerhet er knyttet til omfanget av eksternt finansierte oppdrag. Vi står fremdeles overfor lang feilrettingstid i infrastrukturen og risikoen for driftsstopp/systemfeil vurderes som høy. Omorganisering av avdeling for datafangst og metode og opprettelsen av egen fagstab for IT-utvikling og -strategi er nå gjennomført. Samtidig pågår det flere endringsaktiviteter i SSB, blant annet Lean-gjennomgangene og omstillingsprosessen. Risikovurderingen knyttet til den interne organiseringen av arbeidet vurderes som høy, men tas ned fra kritisk fra i fjor. Vi har delt opp vår vurdering av risiko knyttet til datatilgang: Risiko for sviktende datatilgang fra administrative registre vurderes fortsatt som høy. Høy risiko for svikt i datatilgang knyttet til lav oppslutning om spørreundersøkelser. Risiko Grad Tiltak 1 Kompetanse Risiko for mangelfull kapasitet mht. nødvendig kompetanse. Høy a. Konkretisering og oppfølging av HR-strategi som ivaretar disse utviklingstrekkene. b. Ved nedbemanning er fleksibilitet mht. personale og oppgaver viktig. Kompetansekartlegging og intern rotasjon bidrar til at kompetanse utnyttes på tvers i organisasjonen. c. Gjennomføre omstilling iht. avtale med fagforeningene d. Lean-gjennomgang i seksjoner og standardisering av prosesser gir bedre muligheter for utnyttelse av medarbeidernes kompetanse, og vil gjøre SSB mindre sårbar med hensyn til kompetanse e. Bruk av innleid kompetanse på kritiske områder etter behov f. Tydelige karriereveier og utviklingsmuligheter for medarbeidere med nøkkelkompetanse Statistisk sentralbyrå 7

10 Virksomhetsplan 2015 Planer og meldinger 2015/3 2 Finansiering Risiko for generell reduksjon av statsbudsjettet og oppdragsinntekter SSB har begrenset kontroll på finansieringen, men må overholde budsjettrammene og har derfor iverksatt nødvendige tiltak her. 3 IT-systemer Risiko for driftsstopp/systemfeil 4 Organisering av arbeidet Risiko for at organiseringen hemmer effektiv produksjon 5 Datatilgang Risiko for sviktende tilgang til dataregistre 6 Datatilgang Risiko for lave svarprosenter Moderat a. Stillingskontroll og stram budsjettstyring opprettholdes i 2015 b. Gjennomføre omstilling iht. avtale med fagforeningene c. Økonomisk krav fra eier av Kongensgate 6 imøtegås med advokatbistand Høy a. Økte investeringer og prioritering av IT (se konkrete tiltak kap.2) Høy a. Følge opp Leangjennomgangene b. Utvikle porteføljestyringen c. Gjennomføre omstilling iht. avtale med fagforeningene Høy a. Nært samarbeid med registereiere b. Tiltak for å samordne og fordele oppgavebyrden Høy a. Bedre tilgang til kontaktinformasjon b. Tiltak for å samordne og fordele oppgavebyrden c. Ta i bruk nye kommunikasjonsformer overfor oppgavegiverne 8 Statistisk sentralbyrå

11 Planer og meldinger 2015/3 Virksomhetsplan 2015 Risiko for feil i publisert statistikk Det er i 2014 også gjennomført en egen vurdering av risiko for feil i publisert statistikk, basert på en gjennomgang av fire sentrale statistikker (konsumprisindeksen, kvartalsvis befolkningsstatistikk, detaljomsetningsindeksen og utenrikshandel med varer). Omfanget av feil i statistikken må veies mot andre kvalitetskomponenter som relevans, aktualitet og punktlighet. Å unngå alle feil uavhengig av alvorlighetsgrad vil kreve for mye ressurser og gå utover andre kvalitetskomponenter, men det er et mål å unngå alvorlige feil i publisert statistikk. Alvorlige feil er definert som feil i sentrale tall, som påvirker fortolkningen av tallene, og dermed kan ramme SSBs omdømme. Dersom feil i slike tall i vesentlig grad kan påvirke oppfatningen av situasjonen i samfunnet eller tallene med feil er markedssensitive, regnes det som svært alvorlige feil. I vurderingen av risikofaktorer for feil i publisert statistikk har vi tatt utgangspunkt i SSBs produksjonsprosess. Viktige faktorer omfatter: Datagrunnlaget Metode Produksjonssystemet (IT) Arbeidsprosessene (rutiner og organisering) Jevnt over vurderes sannsynligheten for alvorlige feil i statistikken knyttet til disse faktorene som lav, fra meget liten til liten. Konsekvensene er stort sett vurdert som lave eller moderate, slik at resulterende risikoer vurderes som lav eller moderat. For flere av de nevnte faktorene er det alt satt i gang tiltak i SSB. Noen av disse er løpende eller vil først gi full effekt i F.eks er avtalene med registereiere med på å minimere sannsynligheten for feil i inputdata. Ny produksjonsprosess med færre manuelle rutiner for å lage figurer, ble iverksatt høsten 2014 og har allerede bidratt til færre feil. Andre og mer generelle tiltak omfatter standardisering av ITløsninger, Lean og kvalitetsgjennomganger, samt kompetanseutvikling. Det er også nylig vedtatt reviderte prinsipper for feilretting i SSB. Hovedpoenget her er at feil rettes så snart de er oppdaget, samt at det informeres om dette og i de tilfellene det er snakk om alvorlige feil, informeres det om hvorfor feilen oppsto. 2. IT Risikovurdering av SSBs generelle leveringsdyktighet på både prosjekter, forvaltningsarbeid og driftsstabilitet. Mål IT skal sikre stabil drift ut fra organisasjonens definerte leveransenivå. ITsystemene skal gi effektive og standardiserte arbeidsprosesser, samt ivareta krav i lovverket og til nasjonal og internasjonal rapportering. IT-systemene skal støtte SSB sin virksomhet- og informasjonsarkitektur. Alle systemer skal leveres i tråd med brukernes, både interne og eksterne, prioriterte behov og krav til kvalitet. IT-avdeling skal drives effektivt gjennom gode styringsmodeller, oversiktlig ressursstyring og kompetansebygging. Ekstern gjennomgang Intern gjennomgang Det ble i 2013 foretatt en ekstern gjennomgang av IT-funksjonen som påpekte kritisk høy driftsrisiko mht. systemforvaltning og systemportefølje. Risikoområder fra den eksterne gjennomgangen er tatt inn i risikovurderingen i tabellen under. IT-avdelingen igangsatte våren 2014 en risikovurdering i alle fagavdelingene av deres systemer/statistikker. Dette for å få en bedre prioritet av systemporteføljen i SSB. Alle fagavdelingene har nå prioritert fem systemer der det skal gjennomføres en mer komplett risikovurdering. Prioriteringsarbeidet vil fortsette i Statistisk sentralbyrå 9

12 Virksomhetsplan 2015 Planer og meldinger 2015/3 Risikobildet Risikobildet for 2015 er fortsatt preget av at forvaltningen av nye og gamle produksjonsløsninger for statistikk er så omfattende at tempoet i utviklingen av nye løsninger påvirkes negativt. En annen side i denne problemstillingen er et uklart skille på IT oppgaver og hva fagavdelingene selv skal gjøre. Det registreres at det er svært ulikt nivå i fagavdelingene for å kunne utføre oppgaver i fellessystemene. Det mest kritiske punktet og som går igjen i alle risikoområdene, er mangel på ressurser og nødvendig kompetanse. Skal IT-avdelingen drifte, forvalte og utvikle på det modenhetsnivå den eksterne gjennomgangen anbefaler i sin rapport, må avdelingen tilsette nye ressurser både for å styrke kapasitet og kompetanse. I tillegg har IT avdelingen mistet medarbeidere det siste året som ikke er blitt erstattet. Sannsynligheten for at store mengder data skal forsvinne grunnet katastrofe, brann, sabotasje, etc., anses som meget liten. SSB har allerede dubleringsløsninger på plass og ivaretar kritiske data med ekstern backup. Konsekvensen av en større katastrofe vil med dagens løsninger i stor grad begrenses til at historiske backup går tapt. Endret risiko 5. Foreldete systemer hindrer nødvendig oppgradering og sikring av infrastruktur og IT-plattform, eller gamle systemer kan stoppe opp. Risikoen er nedjusert fra moderat til lav. Etter at KOPP-prosjektet er ferdigstilt har SSB et langt bedre utgangspunkt enn tidligere. 6. Konfidensielle data blir sendt med e-post og kan komme på avveie. Risikoen er redusert fra høy til lav. Gjennom KOPP er det innført systemer for sikker e-post. Brukerhåndtering er ikke vurdert opp mot risiko her. Når risikomomentene er satt til lav vil de vurderes ved neste gjennomgang og hvis de er uendret tas de ut av momentlisten. Risiko Grad Tiltak 1 Mangel på ressurser og nødvendig kompetanse vanskeliggjør nyutvikling, effektiv forvaltning og drift Høy a. Økt tilgang på nye ressurser Gjelder generelt for alle risikopunktene 2 Gammel teknologi, og manglende standardisering vanskeliggjør tilfredstillelsen av nye brukerbehov og integrasjon med andre systemer 3 Manglende kapasitet i forvaltningen hindrer nødvendig nyutvikling 4 Prosjekter og forvaltnings- oppgaver sprekker på tid og omfang 5 Foreldete systemer hindrer nødvendig oppgradering og sikring av infrastruktur og IT-plattform, eller gamle systemer kan stoppe opp 6 Konfidensielle data blir sendt med e- post og kan komme på avveie Høy a. Standardisering b. Ressurser til nødvendig modernisering c. Helhetlig arkitektur d. Bruke fremtidsrettet teknologi Høy a. Fortsatt standardisering b. Eksterne og/eller interne ressurser c. Utarbeide sourcing strategi Moderat a. Styrke planlegging/ estimering b. Øke bestillerkompetansen Lav a. Kontinuerlig planlegge utfasing, utskifting eller oppgradering av gamle systemer Lav a. Tidligere tiltak fullført 10 Statistisk sentralbyrå

13 Planer og meldinger 2015/3 Virksomhetsplan Lang feilrettingstid i infrastrukturen som følge av mangel på tilstrekkelig kapasitet (nok ressurser med rett kompetanse) 8 Ondsinnet dataangrep som følge av økt eksponeringen av nettverk og tjenester mot omverden 9 Risikoen for at omfattende mengder data blir borte (eksempelvis ved brann, jordskjelv eller annen katastrofe som gjør at SSB mister store mengder data) Høy a. Tydeliggjøre SLA/tjenestenivå b. Etablere sourcingstrategi og leverandørstyring ved ekstern bistand Høy a. Fullføre plassering av systemer ihht risikovurdering b. Anskaffe IDS og IDP løsninger for å gjøre inntrengingsforsøk vanskeligere og lettere å oppdage Høy a. Nytt backupsystem er under implementering. Ferdigstilles b. Tidsbestemt hvor lenge alle datarom kan være nede. Backupstrøm med strøm/diesel. SSB må avklare hvor lang nedetid forretningen kan tåle. Statistisk sentralbyrå 11

14 Virksomhetsplan 2015 Planer og meldinger 2015/3 Mål Endring 3. Økonomiforvaltning og innkjøp Pålitelig og oversiktlig økonomiforvaltning, effektive anskaffelser i henhold til gjeldende regelverk og i samsvar med SSBs innkjøpsstrategi. Det er i 2014 innført periodisert regnskap i SSB og det kan være noe manglende kunnskap knyttet til de nye regnskapssprinsippene. I 2014 endret DFØ organisering. SSB har fått nye kontaktpersoner og en annen enhet i DFØ har fått ansvaret for SSB som kunde. Disse endringene, kombinert med en noe lavere kapasitet innenfor økonomistyring i SSB, medfører at riskoen for feil i regnskapet vurderes som høyere enn tidligere. Risiko Grad Tiltak / Oppfølging 1 Kompetanse og bemanning Risiko for manglende kompetanse i regnskap og bruk av Agresso Moderat a. Kompetanseutvikling av medarbeidere, bla. i bruk av Agresso med tilhørende system og lite ressurser Manglende kompetanse og b. Definere roller og ansvar i forbindelse med utføring av økonomioppgaver ressurser hos DFØ ved flytting til Trondheim (regnskap) og Stavanger (lønn) c. Vurdere ressurssituasjonen på seksjon for økonomistyring løpende d. Statusmøter med DFØ og tett dialog ved overgang til nye 2 Feil i regnskapet Det er mange delsystem og forsystemer til Agresso og manglende/dårlige systemløsninger Feil kontering og bokføring i Basware og Agresso Feil ved utbetaling til leverandør Manglende fakturering til kunder, særlig knyttet til oppdragsinntekter Mangelfull og/eller feil føring av timer i WinTid SSB har både kontant og periodisert regnskap, vanskelig med avstemming mellom disse kundekontakter i DFØ Moderat a. Utvikle økonomicontrollerfunksjonen b. Tett oppfølging og samarbeid med DFØ og andre statlige etater c. Avstemming og kontroll av kontoer d. Utarbeide gode rapporter som kan følges opp på alle nivåer e. Oppfølgning og analyse av oppdragsinntekter f. Gjennomgang av kontrakter med kunder 3 Regelverk og rutiner Risiko for at regelverk og rutiner ikke følges 4 Informasjon og frister Risiko for at oppgaver utføres galt som følge av manglende informasjon Risiko for at frister ikke overholdes Lav a. Gjennomgang og vedlikehold av rutiner b. Opplæring Økonomireglementet c. Fullføre en enhetlig og helhetlig fullmaktsstruktur Lav a. God informasjon internt i økonomiforvaltingen og i SSB for øvrig b. Ukentlige møter på økonomiseksjonen c. Utarbeide årsplan for rapportering med fastsatte tidsfrister d. Utarbeide oversikt over oppgaver som skal utføres ved hver månedsavslutning 12 Statistisk sentralbyrå

15 Planer og meldinger 2015/3 Virksomhetsplan Mislighold Risiko for misligheter utover det som er nevnt i risikoen om informasjonssikkerhet (punkt 1). Dette gjelder risiko for misligheter knyttet til innkjøp, reiseregninger, telefoner, rekvisita m.m., herunder også korrupsjon. 6 Anskaffelser Risiko for at regelverk og rutiner ikke følges Risiko for feil i anskaffelsesprosessene Risiko for dårlige avtaler Risiko for at SSB saksøkes på grunn av feil i anskaffelsesprosess Risiko for negativ omtale i media på grunn av omgåelse av regelverket Moderat a. Utvikling av økonomicontrollerfunksjonen b. To personer sjekker hver reiseregning c. Oppfølging av alle anskaffelser d. Kontroller knyttet til sluttgodkjenning av fakturaer og kontroll av utbetalinger e. Innarbeide en hensiktsmesig fullmaktsstruktur Moderat a. Vedta en ny, oppdatert innkjøpsstrategi og få denne forankret og implementert i organisasjonen Statistisk sentralbyrå 13

16 Virksomhetsplan 2015 Planer og meldinger 2015/3 Mål Endring 4. Sikkerhet Tilfredsstillende sikkerhet i SSB I forbindelse med to uønskede hendelser i første del av 2014 har SSB iverksatt tiltak for å redusere risikoen for tap av verdier som følge av innbrudd. Risiko Grad Tiltak / Oppfølging 1 Manglende integritet og Høy Med hensikt: konfidensialitet 2 interne forhold. Uautorisert tilgang til/ endring av data fra interne a. Ved stopp av arbeidsforhold: Avstemming mellom SAP og AD per 2. og 4. kvartal Feilsending av mail Annen lekkasje av data b. Vurdere behovet for nye tiltak mot utro tjenere ila c. Ved intern flytting: LDA/seksjonsleder avstemmer tilgang til egne data. Med/uten hensikt: a. Teste sporingen i filslusa. b. Bestemme nivå for logging og gjenfinning i logger. 2 Manglende integritet og konfidensialitet eksterne forhold Uautorisert tilgang til/ endring av data fra eksterne SSB anser sannsynligheten for dette som meget liten, men risikoen blir likevel høy pga forventede konsekvenser for virksomheten, jf. modell side 5. Høy Med hensikt: a. Vurdere løsningene våre for å logge og avdekke inntrengingsforsøk og iverksettes eventuelle tiltak b. Øvelse i Manglende tilgjengelighet Strømstans Brudd på tverrsamband Dette punktet tar ikke for seg manglende tilgjengelighet på enkelttjenester kun at større deler av infrastrukturen faller ut. 4 Fysisk sikkerhet Risiko for omfattende brann, oversvømmelse eller naturkatastrofe Høy a. Teste nødstrøm (Oslo og Kongsvinger) og teste at reservedatarom kan overta produksjon av datatjenester. Eventuelt iverksette tiltak. b. Test av tverrsamband og internettlinje Høy a. Evakueringsøvelse i Oslo og Kongsvinger i 2015 b. Gjennomgang av sikkerhetsløsninger i Oslo og Kongsvinger. Iverksette eventuelle tiltak. c. Videreføre avtale om alternative lokaler 2 Informasjonssikkerhet i SSB (fra sikkerhetshåndboken i SSB, side 6) omfatter sikring av: Konfidensialitet - at informasjonen kun er tilgjengelig for autoriserte personer og/eller systemer og at det på forhånd er foretatt en gyldig identifisering og autentisering. Integritet - at informasjonen ikke blir endret eller slettet på uautorisert måte. Tilgjengelighet - at informasjonen eller dataressurser er til stede, stabile og anvendelige for brukere etter behov. 14 Statistisk sentralbyrå

17 Planer og meldinger 2015/3 Virksomhetsplan Fysisk sikkerhet Innbrudd med tyveri av materielle ting uten tilgang til data Moderat a. Gjennomgang av sikkerhetsløsningene i Oslo og Kongsvinger. Iverksette eventuelle tiltak. 6 Manglende sikkerhetskompetanse og bevissthet Dette gjelder først og fremst mangelfull kompetanse om sikkerhet blant medarbeiderne, både for å unngå sikkerhetsbrudd og for å følge opp ev. slike. 7 Terror SSB rammes av et terrorangrep gjennom et generelt angrep på statlige virksomheter SSB rammes av et terrorangrep spesielt rettet mot SSB SSB rammes av et fysisk angrep fra en oppgavegiver SSB rammes av et terrorangrep der SSB ikke inngår i målgruppen Høy a. Én øvelse ila 2015 b. Det ble kjørt en serie weblæringskurs for alle ansatte i oktober 2014 Høy a. Gjennomgang av sikkerhetsløsninger i Oslo. Iverksette eventuelle tiltak. b. Gjennomgang av retningslinjer for kontakt med media. Iverksette eventuelle tiltak. c. Gjennomgang av rutiner for levering av pakker og brev til SSBs bygninger (innen 3. kvartal 2015). Iverksette eventuelle tiltak. d. Videreføre avtale om alternative lokaler e. Øvelse ila 2015 Statistisk sentralbyrå 15

18 Statistisk sentralbyrå Postadresse: Postboks 8131 Dep NO-0033 Oslo Besøksadresse: Akersveien 26, Oslo Oterveien 23, Kongsvinger E-post: Internett: Telefon: Design: Siri Boquist